Green-sell.info

Новые технологии
3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как лечить загрузочный вирус

Загрузочные вирусы. Boot вирус

Если при включении компьютера вы наблюдаете плановую загрузку BIOSa, а дальше все зависает, либо появляется непонятное окно, то знакомьтесь это загрузочный вирус Boot trs. — один из самых опасных вредителей

Загрузочные и файловые вирусы компьютерные характеризуются тем, что при заражении можно потерять всю хранящуюся информацию на вашем жестком диске! Вы хотите спросить, а как такое возможно? На что ответим: «При загрузке операционной системы, персональный компьютер в состояние прочитать только начальный (нулевой) сектор-Boot жесткого диска». Все что компьютер прочитал с нулевой дорожки, начинает управлять жестким диском. А в частности загрузкой вашего Windows. Теперь можете представить, что может случиться, если вирусы в загрузочном секторе. Данный сектор сразу подвергнется редактированию, либо полному изменению загрузочным Boot-вирусом.

Для тех, кто еще не догадывается о последствиях, расскажем несколько сюжетов заражения загрузочным вирусом Boot trs.

  • Первый вариант и очень неприятный. Вместо загрузки ОС вы можете увидеть все, что угодно: от насмешек до вымогательства денег. Последнее очень часто стало наблюдаться и получило соответствующее название — вирус вымогатель.
  • Второй вариант и очень опасный. Загрузочно-файловые вирусы в два счета могут прописать команду, которая будет при каждом включение компьютера заставлять форматироваться ваш жесткий диск. Сами понимаете, что это сулит потерей вашей информации.
  • Третий вариант и самый фатальный. Файлово-загрузочный вирусы прописывают команды, которые выведут ваш жесткий диск из строя без возможности восстановить имеющуюся на нем информацию.

Удаление вируса из загрузочного сектора

Есть несколько способов как удалить вирус в загрузочной области:

Как удалить загрузочный вирус-Boot trs с нулевой дорожки жесткого диска

Для этого нужно загрузиться с загрузочного диска Windows XP (при условие, что на компьютере установлен Windows XP). При появлении диалога установки нам необходимо нажать [R] (восстановление системы с помощью командной строки, консоли).

В появившейся консоли (черный экран с белой черточкой) будет запрос со стороны программы, в какой Windows необходимо зайти, мы ставим [1] и нажимаем [Enter]. Далее идет запрос с паролем, поэтому тут вводим свой пароль (если есть) и нажимаем [Enter]. После всех этих мучений мы должны увидеть путь типа FWINDOWS — это значит то, что мы в системе и можно уже действовать. Теперь, сначала прописываем команду FIXMBR и жмем [Enter]. На предупреждение вводим [Y] и так же нажимаем [Enter]. Далее прописываем команду FIXBOOT и действуем по аналогии с командой FIXMBR. Поздравляем вы очистили свою нулевую дорожку жесткого диска от загрузочного вируса Boot trs.

Boot вирус как удалить с помощью другого компьютера

Подключаете свой жесткий диск к другому ПК и проводим проверяем загрузочный сектор на вирусы с помощью одного из данных антивирусов. Скажем сразу, что 100% результата не ожидайте, тут все зависит от модификации Boot вируса.

ВАЖНО: Ни в коем случае не начинайте переустанавливать Windows, это всё равно вам не поможет, убъёте своё время, силы и средства вирус поражающий загрузочный сектор необходимо только лечить.

Если вам нужна помощь в удаление загрузочного Boot вируса вы всегда можете обратиться в наш компьютерный сервис.

Как лечить загрузочный вирус

Загрузочный вирус (англ. Boot viruses ) — компьютерный вирус, записывающийся в первый сектор гибкого или жесткого диска и выполняющийся при загрузке компьютера.

При включении или перезагрузки компьютера Boot-вирус заменяет собой загрузочный код, и таким образом получает управление ещё до непосредственного запуска операционной системы. Вместо операционной системы загружается вирус, размещая в памяти свое тело, которое хранит в неиспользованных секторах, идущих после MBR, но до первого загрузочного сектора раздела. Перехватив обращения к дискам, вирус продолжает загрузку операционной системы. Размножается вирус записью в загрузочную область других накопителей компьютера.

Простейшие загрузочные вирусы, находясь в памяти зараженного компьютера, обнаруживают в компьютере незараженный диск и производят следующие действия:

  • выделяют некоторую область диска и делают её недоступной операционной системе;
  • замещают программу начальной загрузки в загрузочном секторе диска, копируя корректную программу загрузки, а также свой код, в выделенную область диска;
  • организуют передачу управления так, чтобы вначале выполнялся бы код вируса и лишь затем — программа начальной загрузки.

Загрузочные вирусы очень редко «уживаются» вместе на одном диске из-за того, что используют одни и те же дисковые сектора для размещения своего кода/данных. В результате код/данные первого вируса оказываются испорченными при заражении вторым вирусом, и система либо зависает, либо зацикливается при загрузке.

Алгоритм работы загрузочного вируса

Практически все загрузочные вирусы резидентны. Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию в память и передает на нее (т.е. на вирус) управление. После этого начинают выполняться инструкции вируса, который:

  • как правило, уменьшает объем свободной памяти (слово по адресу 0040:0013), копируют в освободившееся место свой код и считывает с диска свое продолжение (если оно есть). В дальнейшем некоторые вирусы «ждут» загрузки DOS и восстанавливают это слово в его первоначальное значение. В результате они оказываются расположенными не за пределами DOS, а как отдельные блоки DOS-памяти.
  • перехватывает необходимые вектора прерываний (обычно — INT 13H), считывает в память оригинальный boot-сектор и передает на него управление.

В дальнейшем загрузочный вирус ведет себя так же, как резидентный файловый: перехватывает обращения операционной системы к дискам и инфицирует их, в зависимости от некоторых условий совершает деструктивные действия или вызывает звуковые или видеоэффекты.

Читать еще:  Антивирус ест нод 32 ключи

Существуют нерезидентные загрузочные вирусы — при загрузке они заражают MBR винчестера и дискеты, если те присутствуют в дисководах. Затем такие вирусы передают управление оригинальному загрузчику и на работу компьютера более не влияют.

Как лечить загрузочный вирус

mhdd или victoria, тест с записью нулей в первые сектора. потом все с нуля как на чистом диске

а вот P Magic совершенно ненужен

BOOT SECTOR WRITE!! VIRUS:CONTINUE (YN)?
И правильно — это тебя вирусом обозвали что б диски РМом не гробить (интересно сколько об этом надо сказать (написать) — удали со всех носителей РМ — его время ушло.
Когда устанавливаешь Вин. с нормального инсталлятора то тебе будет предложено по ходу установки разметить (форматировать) диск — этим и пользуйся.
Для разметки в установленной системе есть дискманагер используй его и проблем будет меньше.

NegoroX

Видать у вас уже очень старая мама — в новые такую защиту, насколько помню, не встраивают.

Сообщение появляется потому, что вы разрешили в BIOS антивирусный контроль загрузочного сектора дисков на модификацию — то, чем занимался ряд старинных DOS’овских boot-вирусов.

Поэтому при установке операционки оно у вас тоже появится: ведь установка операционки принципиально связана с изменением загрузочного сектора. И если вы запретите это делать, среагировав на вопрос про вирус как на реальную угрозу — с нормальной установкой у вас ничего не выйдет.

Лучше вообще отключить эту защиту — по крайней мере на время установки: иногда наблюдались проблемы даже при положительном ответе на вопрос (возможно что связано с нерасчётно большим интервалом времени, в течение которого юзер реагирует на этот вопрос).

Добавление от 28.11.2008 11:24:

Ну а про PM вам уже сказали. Откройте окно, и запустите его как летающую тарелочку, хоть какая польза будет: очень красиво.

цитата: mwz:
NegoroX

Видать у вас уже очень старая мама — в новые такую защиту, насколько помню, не встраивают.

Сообщение появляется потому, что вы разрешили в BIOS антивирусный контроль загрузочного сектора дисков на модификацию — то, чем занимался ряд старинных DOS’овских boot-вирусов.

Поэтому при установке операционки оно у вас тоже появится: ведь установка операционки принципиально связана с изменением загрузочного сектора. И если вы запретите это делать, среагировав на вопрос про вирус как на реальную угрозу — с нормальной установкой у вас ничего не выйдет.

Лучше вообще отключить эту защиту — по крайней мере на время установки: иногда наблюдались проблемы даже при положительном ответе на вопрос (возможно что связано с нерасчётно большим интервалом времени, в течение которого юзер реагирует на этот вопрос).

Все в мире относительно, но мамка была приобретена этой весной из новых, а что касается настройки BIOSa то у меня там стоит BOOT PROTECTION — disable, в общем вы хотите сказать что вирус отсутствует?

Добавление от 28.11.2008 12:23:

Roxx2000
Вам в таком случае пробовать совет AYM

цитата: Егор:
Долго искал ваш ответ, но нашел. Для всех, он в последнем абзаце.

Добавление от 28.11.2008 12:23:

Roxx2000
Вам в таком случае пробовать совет AYM
Спасибо! буду пробовать

Под Windows бут-вирусы не живут. Поэтому сказки про заражённый бут-сектор можете пересказывать детишкам

Не, на самом-то деле, есть один вариант написания бутового вируса для Windows. Но, насколько я знаю, этот вариант ещё никто не реализовал.

Добавление от 13.01.2009 03:30:

Victoria 4.3 Windows Хотел закачать но Avast червя не захотел

WinHex хотя бы.
Будем надеяться что вы знаете что делаете, и какие могут быть последствия ваших действий.

Sergonian
Magic Boot Disk — MHDD — CLRMBR. (Разделы будут удалены.)
Если надо сохранить таблицу разделов. WinHex, HxD или DMDE; открыть физический диск и обнулить байты 0. 1BDh. Можно также в консоли восстановления FIXMBR, вроде должно сработать.

Но если при установке ошибки разные, врядли это вирус. Вы ведь грузитесь с установочного компакта, вирусу не передается управление. А установщик переписывает загрузчик в MBR и вирус улетает.
Проверьте SMART диска. Проверьте память!

Компания Symantec сообщила об обнаружении нового образца хакерского программного обеспечения, способного изменять загрузочный сектор главного жесткого диска компьютера. В компании отмечают, что обнаруженное ПО относится к средствам удаленного администрирования (руткит) и предназначено для работы с Windows.

По словам экспертов Symantec, обнаруженный код — это принципиально новая разработка, которая не использует какие-либо ранее задействованные вредоносные коды, поэтому на сегодня далеко не все антивирусы способны обнаруживать новый руткит.

Руткит модифицирует код главного загрузочного сектора (master boot record), где хранится информация об операционной системе или системах (если их несколько), которой следует передать управление компьютером после проверки BIOS.

«Традиционные руткиты инсталлируются в системе как драйверы, примерно также как и остальное программное обеспечение и файлы. Эти драйверы грузятся вместе с операционной системой на этапе включения компьютера, но новый руткит записывает себя еще до операционной системы и начинает выполнятся до старта ОС», — говорит Оливер Фредрих, руководитель антивирусного подразделения Symantec.

«Такой метод дает беспрецедентный контроль над компьютером, фактически код прячется там, где ни один руткит до него не прятался», — говорит он.

По данным исследователей из института SANS, статистический анализ показал, что на сегодня данным руткитом заражены несколько тысяч компьютеров по всему миру, а первые признаки нового вредоносного кода появились в середине декабря 2007 года. Кроме того, в SANS сообщили, что обнаружили несколько сайтов, при помощи которых руткит распространяется.

Читать еще:  Вирус закрывает диспетчер задач

«Это очень серьезная угроза и она показывает навыки ряда компьютерных преступников. Несмотря на то, что концепция несанкционированного модифицирования не нова, примененный подход ранее почти не использовался. Очевидно, что здесь поработали профессионалы, которые в последствии на базе этого кода могут создать и дополнительные схемы похищения данных и получения контроля над пользовательским компьютером», — говорят в Symantec.

В Verisign отметили, что первая волна атак нового руткита, судя по данным траффика, была 12 декабря, вторая — 19 декабря 2007 года. По словам Мэтью Ричардса, директора VeriSign iDefense Labs, на сегодня около 5 000 компьютеров заражены руткитом.

В Symantec говорят, что полученные на данный момент сведения свидетельствуют о том, что код работает только в Windows XP, пользователи Windows Vista пока находятся вне опасности, так как для своей работы руткит требует административных привилегий, а Vista при подобных обращениях выводит запрос на выполнение.

Еще одна опасность кода заключается в том, что из-за нахождения в главной загрузочной записи его крайне трудно обнаружить из операционной системы средствами антивируса. «Единственный верный способ удалить этот код — запуск консоли восстановления Windows c инсталляционного диска, также следует воспользоваться командой fixmbr в командной строке. В ряде BIOS есть функций для запрещения записи в загрузочный сектор, сейчас эта функциональность может оказаться полезной», — говорит Элия Флорио, антивирусный аналитик Symantec.

Вирус в загрузочном секторе Windows

Намедни заочно познакомился с новым вирусом (где Вы их находите, ей богу?), который просит перевести примерно 25 долларов на определённый кошелёк в Webmoney в счёт погашения штрафа за просмотр, копирование и тиражирование видео взрослого характера.

Под «заочно» я подразумеваю, что сам я вирус не удалял, поэтому могу ошибаться. Скриншот прислали по ммс, и, судя по всему, вирус грузится до загрузки Windows.

Кроме удаления вируса, мы сегодня попутно научимся восстанавливать загрузочный сектор Windows XP и 7.

В первую очередь нам нужно узнать, когда загружается вирус. Определить это довольно просто — нужно проверить реакцию ПК на стандартные комбинации клавиш:

  • Windows+L — смена пользователя
  • Ctrl+Alt+Del или Ctrl+Shift+Esc — диспетчер задач

Если по нажатию Ctrl+Alt+Del происходит перезагрузка ПК или вообще ничего не происходит, то можно сказать, что вирус грузится до запуска системы и находится в MBR секторе (загрузочный сектор Windows). Есть два варианта решения данной проблемы:

Восстанавливаем загрузочный сектор Windows.

Кстати, аналогичным способом восстанавливают повреждённый загрузчик Windows в том случае, когда на экране Вы видите такое сообщение: disk read error occurred press ctrl+alt+del to restart или NTLDR is missing.

Нам понадобится диск с Windows, желательно той (или такой же), которая уже установлена на ПК. В Bios выставляем загрузку с диска и дожидаемся запуска установки Windows. Дальнейшие действия зависят от системы:

При Windows XP .

При появлении надписи «Вас приветствует мастер установки» (текстовая часть загрузки) нажимаем кнопку R (или F10), чтобы запустить консоль восстановления. Появится консольная строка, если есть пароль администратора — вводим его, затем вводим команды:

  • CD
  • fixboot c: (если система на диске C)
  • exit (будет перезагрузка)

Опять загружается в консоль, и вводим эти команды:

Вынимаем диск и пробуем загрузить как обычно. Если система загрузились удачно, начинаем устанавливать все типы антивирусов и искать вредоносный файл, так как, после перезагрузки вирус может снова появится. Не перезагружаем компьютер, пока его не находим.

Если антивирусы не находят, пробуйте поиск файлов Windows (F3) по дате (предположительного заражения), включая скрытые и системные файлы с маской *.EXE или *.BAT. Пока точно где он не могу сказать, так как не сталкивался.
Если загружается опять вирус — проделываем оба предыдущих шага, плюс вводим ещё эти команды:

При Windows 7.

Вставляем диск и загружаемся с него.
При загрузке с диска выбираем «Восстановление системы» («Repair your computer»). Далее выбираем нашу систему (Windows 7 на диске C:). В окне «Параметры восстановления системы» выбираем «Командная строка» («Command Prompt»). В консоле пишем:

  • bcdedit /export C:BCD_Backup
  • c:
  • cd boot
  • attrib bcd -s -h -r
  • ren c:bootbcd bcd.old
  • bootrec /RebuildBcd

Это перестроит и восстановит загрузочную область Windows 7. Перезагружаемся без диска. Поиск вируса аналогичен варианту с Windows XP.

Если вирус блокирует любые действия в Windows

Если вирус грузится в самой системе, и Вы не можете ничего сделать кроме перезагрузки ПК, то можно попробовать такой способ разблокировки:

  • Зажимаем Ctrl+Shift+Esc (Ctrl+Alt+Del) до момента, пока не начнёт мерцать диспетчер задач.
  • Не отпуская клавиш, ищем процесс вируса и кликаем «Cнять задачу».
  • Далее нажмите «новая задача» и введите «regedit» (редактор реестра)
  • Переходим в раздел HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
  • Проверяем два параметра «Shell» и «Userinit».
  • Значением параметра Shell должно быть «Explorer.exe» .
  • Значение Userinit – «C:WINDOWSsystem32userinit.exe,» (в конце запятая обязательно).
  • Перезагружаем ПК.
  • Обязательно проверьте компьютер на вирусы установленным антивирусом или утилитой.
  • В случае неудачи — проделайте этот способ в безопасном режиме.

Для сканирования подойдут бесплатные утилиты:

Второй способ описан в тексте статьи «Вирус — заставка просит отправить СМС«. Если ничего не помогает, пишем в комментарии и пробуем разобраться вместе.

Читать еще:  Как отключить антивирусник на ноутбуке

Как лечить загрузочный вирус

Как бороться с загрузочными вирусами?

Что делать если ваш ПК «глухо» зависает сразу после прохождения тестов BIOS , а форматирование жесткого диска и переустановка операционной системы не помогают?

Возможной причиной этого является наличие на вашем жестком диске так называемых загрузочных вирусов, поражающих загрузочный сектор диска (хотя до поры до времени загрузочные вирусы могут и ничем не выдавать своего присутствия в операционной системе. Кстати, при переустановке операционной системы рекомендуется перезаписывать основную загрузочную запись.

Трудность обнаружения загрузочных вирусов заключается в том, что они загружаются в оперативную память компьютера до загрузки антивирусной программы при включении (поэтому антивирус практически «убит до загрузки»). Для удаления загрузочного вируса нужно перезаписать загрузочную запись (при этом вся остальная информация на жестком диске будет не тронута). Способов «лечения» несколько.

Во-первых , можно снять ваш жесткий диск и подключить к другому ПК, на котором установлен надежный (постоянно обновляемый!) антивирус и просканировать его на предмет выявления и лечения обнаруженных вирусов.

Во-вторых , можно воспользоваться загрузочным «аварийным» диском, содержащим антивирус со свежими базами. Предварительно в BIOS нужно установить загрузку с CD — ROM ‘а.

И самый надежный способ – перезаписать загрузочную запись «вручную»

Удаление загрузочных вирусов в Windows ХР

Для этого вам потребуется загрузочный диск с консолью восстановления (или дискеты аварийного восстановления). В BIOS нужно установить загрузку с компакт-диска, положить загрузочный диск с установочным пакетом Windows XP и загрузиться с него. Когда установщик Windows XP загрузит свои файлы в оперативную память ПК, появится диалоговое окно «Установка Windows XP Professional », содержащее меню выбора, из которого нас интересует пункт «Чтобы восстановить Windows XP с помощью консоли восстановления», нажмите [ R =Восстановить ]

Нажмите клавишу « R ». Загрузится консоль для восстановления. Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C :, то появится следующее сообщение:

В какую копию Windows следует выполнить вход?

Введите «1», нажмите « Enter ».

Введите пароль администратора:

Введите пароль, нажмите « Enter » (если пароля нет, просто нажмите « Enter »).

Появится приглашение в систему :

Нужно ввести команду fixmbr

На компьютере установлена нестандартная или недопустимая основная загрузочная запись. Используя команду FIXMBR можно повредить имеющуюся таблицу разделов. Это приведет к утере доступа ко всем разделам текущего жесткого диска.

Если отсутствуют проблемы доступа к диску, рекомендуется прервать работу команды FIXMBR .

Подтверждаете запись новой MBR ?

Введите y (что означает « yes »).

Производится новая основная загрузочная запись на физический диск Device Harddisk Partition .

Новая основная загрузочная запись успешно сделана.

На появившееся приглашение системы: — C : WINDOWS >

Введите команду : fixboot

Хотите записать новый загрузочный сектор в раздел C : ?

Введите « y » (что означает « yes »).

Файловая система в загрузочном разделе: NTFS (или FAT 32).

Команда FIXBOOT записывает новый загрузочный сектор.

Новый загрузочный сектор успешно записан.

На приглашение системы C : WINDOWS >

введите exit , начнется перезагрузка ПК. Нажмите « Del », войдите в « BIOS Setup » и установите загрузку с жесткого диска.

1. Эти методы лечения потенциально опасны (можно ухудшить текущую ситуацию), если вы не чувствуете себя достаточно подготовленным пользователем, тогда лучше обратится к знающим специалистам.

2. Если на вашем ПК установлено несколько операционных систем, чтобы при перезаписи MBR не затереть загрузчик другой ОС, – обратитесь к специалистам!

3. Рекомендую пользоваться надежными антивирусными программами с регулярно (не менее одного раза в месяц) обновляемыми базами.

4. Почаще делайте резервные копии наиболее ценной информации на разных носителях (например, диски CD — RW , флэшки и т.д.).

5. Удаление загрузочных вирусов в Windows 98 делается путем перезаписи загрузочной записи MBR (команда FDISK / MBR ). Ее можно выполнять и при работе в среде Windows (через сеанс MS — DOS ).

6. Краткая справка по применяемым командам:

Эта команда служит для записи нового кода загрузочного сектора Windows в системном разделе. В синтаксисе команды «имя_диска» -это диск, на котором будет записан загрузочный сектор. Эта команда исправляет повреждения в загрузочном секторе. Команда устанавливает параметры по умолчанию, которые записываются в загрузочный раздел системы.

Данная команда используется для восстановления основной загрузочной записи загрузочного раздела. В синтаксисе команды «имя_устройства» – необязательное имя устройства, для которого нужна новая основная загрузочная запись. Используйте данную команду, если вирус повредил загрузочную запись и запустить Windows не удается.

Внимание. Fixboot команда может повредить таблицу разделов, если система инфицирована вирусами или появляются проблемы с оборудованием. При использовании команды fixboot можно создать недоступные разделы. Рекомендуется предварительно проверить систему с помощью антивирусного программного обеспечения перед использованием данной команды.

7. Ещё один эффективный способ лечения от загрузочных вирусов — низкоуровневое форматирование . Но, во-первых, этот способ деструктивен – уничтожает информацию на жестком диске, а во-вторых, опасен тем, что при неумелых действиях легко может испортить жёсткий диск. Поэтому может быть рекомендован только IT специалистам.

Перезапись загрузочной записи операционной системы Windows Vista

Нажмите Пуск –> Все программы -> Стандартные -> щелкните правой кнопкой мыши -> ярлык Командная строка -> в открывшемся контекстном меню выберите «Запуск от имени администратора».

Откроется диалоговое окно Администратор: Командная строка:

После приглашения системы

bcdedit /create /d «Windows Vista» /application osloader

Загрузочная запись операционной системы перезаписана .

Ссылка на основную публикацию
Adblock
detector